Błąd w Brave prowadzi do wycieku odwiedzanych stron sieci Tor

Twórcy przeglądarki Brave szczycą się jej funkcjami związanymi z zapewnianiem podwyższonego poziomu anonimowości w Internecie. Jedną z nich jest tryb pracy Tor (The Onion Router), pozwalający na dostęp do witryn znajdujących się tak zwanej „anonimowej sieci”, bez konieczności instalowania dodatkowego oprogramowania. Jak się właśnie okazało, oferowana od przeszło 2,5 roku funkcja nie działała poprawnie.

Korzystanie z Brave w sieci Tor… nie jest anonimowe!

Brave to przeglądarka oparta na Chromium, która została zmodyfikowana z myślą o prywatności. Ma wbudowany bloker reklam, opcję ścisłej kontroli pobieranych i wysyłanych danych oraz wbudowany tryb przeglądarki Tor do anonimowego przeglądania sieci. Błąd we wzmiankowanej przeglądarce powoduje wyciek odwiedzanych adresów URL Tor On na lokalnie skonfigurowany serwer DNS, co tym samym ujawnia wszystkie odwiedzane przez użytkownika strony internetowe w dark webie.

Strony internetowe w sieci Tor używają specjalnych, „cebulowych” adresów URL, do których użytkownicy mogą uzyskać dostęp tylko przez sieć Tor. Na przykład adres przeglądarki DuckDuckGo w sieci Tor to https://3g2upl4pq6kufc4m.onion/. Aby uzyskać dostęp do adresów Tor, Brave ma specjalny tryb „Prywatne okno z Tor”, który działa jako proxy do sieci Tor. Kiedy internauta próbuje połączyć się z adresem URL .onion, jego żądanie jest przekazywane przez wolontariackie węzły Tor, które wysyłają żądanie za niego i odsyłają zwrócony kod HTML. Już tylko z powodu tej tryb Tor w Brave nie zapewnia bezpośrednio takiego samego poziomu prywatności, jak korzystanie z dedykowanej przeglądarki Tor.

Błąd w opisywanym wyżej trybie Tor w Brave powoduje, że cebulowy adres URL dowolnego odwiedzanego adresu jest również wysyłany równocześnie standardowe zapytanie DNS do skonfigurowanego serwera DNS danego komputera. O bugu pisano w serwisie Reddit, a jego występowanie potwierdził James Kettle z PortSwigger.

Jak widać na powyższym materiale wideo przygotowanym przez serwis BleepingComputer, podczas odwiedzania cebulowych adresów URL DuckDuckGo i NY Times w trybie przeglądarki Tor, Brave wykonywała również zapytania DNS do lokalnie skonfigurowanego serwera DNS, czyli publicznych serwerów Google pod adresem IP 8.8.8.8.

Poprawka już jest, ale nie w stabilnej wersji przeglądarki

Twórcy Brave są świadomi tego błędu, ponieważ został zgłoszony na stronie projektu GitHub osiemnaście dni temu, a programiści już stworzyli odpowiednią poprawkę. Aby zapobiec wysyłaniu adresów URL Tor do skonfigurowanych serwerów DNS, Brave wyłączył funkcję blokowania reklam CNAME w trybie przeglądania Tor. Powód? Luka była wywołana przez funkcję blokowania reklam CNAME, która blokuje skrypty śledzące innych firm, wykorzystujące rekordy CNAME DNS do podszywania się pod własny skrypt.

Odpowiednia aktualizacja została wydana już w kanale beta i zostanie dostarczona wraz z kolejną stabilną wersją Brave.

Źródło: BleepingComputer